View a markdown version of this page

Avaliação da RCP - AWS Organizations
Estratégia para usar RCPs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Avaliação da RCP

nota

As informações nesta seção não se aplicam a tipos de política de gerenciamento, incluindo políticas de exclusão de serviços de IA, políticas de backup, políticas de tag ou políticas de aplicativos de chat. Para obter mais informações, consulte Entendendo a herança da política de gerenciamento.

Como você pode anexar várias políticas de controle de recursos (RCPs) em diferentes níveis AWS Organizations, entender como RCPs são avaliadas pode ajudá-lo RCPs a escrever o resultado certo.

Estratégia para usar RCPs

A RCPFullAWSAccess política é uma política AWS gerenciada. Ele é automaticamente anexado à raiz da organização, a cada UO e a cada conta da sua organização, quando você ativa as políticas de controle de recursos (RCPs). Você não pode desanexar essa política. Esse RCP padrão permite que o acesso de todos os diretores e ações passe pela avaliação do RCP, ou seja, até você começar a criar e anexar RCPs, todas as suas permissões existentes do IAM continuarão funcionando da mesma forma. Essa política AWS gerenciada não concede acesso.

Você pode usar declarações Deny para bloquear o acesso aos recursos em sua organização. Para que uma permissão seja negada para u recurso em uma conta específica, qualquer SCP da raiz até cada UO no caminho direto para a conta (incluindo a própria conta de destino) pode negar essa permissão.

As declarações Deny são uma forma poderosa de implementar restrições que devem ser verdadeiras para uma parte mais ampla da sua organização. Por exemplo, você pode anexar uma política para ajudar a impedir que identidades externas à sua organização acessem seus recursos no nível raiz, e isso será efetivo para todas as contas da organização. AWS recomenda fortemente que você não se vincule RCPs à raiz da sua organização sem testar minuciosamente o impacto que a política tem sobre os recursos em suas contas. Para obter mais informações, consulte Testando os efeitos do RCPs.

Na Figura 1, há uma RCP anexada à UO de Produção que tem uma declaração Deny explícita especificada para um determinado serviço. Como resultado, tanto a Conta A quanto a Conta B terão acesso negado ao serviço, pois uma política de negação vinculada a qualquer nível da organização é avaliada para todas as contas OUs e membros abaixo dela.

Exemplo de estrutura organizacional com uma declaração Negar anexada na UO de Produção e seu impacto na Conta A e Conta B

Figura 1: exemplo de estrutura organizacional com uma declaração Deny anexada na UO de Produção e seu impacto na Conta A e na Conta B